Politica de protectie a datelor cu caracter personal

 

Scop, domeniu de activitate si utilizatori

SC Axivant SRL, denumita in continuare „Societatea”, se straduieste sa respecte legile si reglementarile aplicabile legate de protectia datelor cu caracter personal in tarile in care opereaza Societatea. Aceasta politica stabileste principiile de baza prin care Societatea prelucreaza datele cu caracter personal ale consumatorilor, clientilor, furnizorilor, partenerilor de afaceri, angajatilor si altor persoane si indica responsabilitatile departamentelor si angajatilor sai in timpul procesarii datelor cu caracter personal.

Prezenta Politica se aplica Societatii si filialelor sale detinute integral sau partial in Spatiul Economic European (SEE) sau prelucrarii datelor cu caracter personal ale persoanelor vizate din cadrul SEE.

Utilizatorii acestui document sunt toti angajati permanenti sau temporari si toti contractantii care lucreaza in numele Societatii.

 

Definitii

Urmatoarele definitii ale termenilor utilizati in acest document sunt extrase din articolul 4 din Regulamentul general al Uniunii Europene privind protectia datelor:

 

Date cu caracter personal: orice informatie referitoare la o persoana fizica identificata sau identificabila („persoana vizata”) care poate fi identificata, direct sau indirect, in special prin referire la un identificator, cum ar fi un nume, un numar de identificare, date despre locatie, un identificator online sau la unul sau mai multi factori specifici identitatii fizice, fiziologice, genetice, mentale, economice, culturale sau sociale a acelei persoane fizice.

 

Datele cu caracter personal sensibile: Datele cu caracter personal care, prin natura lor, sunt deosebit de sensibile in ceea ce priveste drepturile si libertatile fundamentale, merita o protectie specifica, deoarece contextul prelucrarii lor ar putea crea riscuri semnificative pentru drepturile si libertatile fundamentale. Aceste date cu caracter personal includ date cu caracter personal care dezvaluie originea rasiala sau etnica, opiniile politice, credintele religioase sau filosofice sau calitatea de membru al sindicatelor, datele genetice, datele biometrice in scopul identificarii unice a unei persoane fizice, datele privind sanatatea sau datele referitoare la sexul unei persoane fizice viata sau orientarea sexuala.

 

Prelucrare: o operatiune sau un set de operatiuni care se efectueaza pe date cu caracter personal sau pe seturi de date cu caracter personal, indiferent daca sunt sau nu prin mijloace automate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, recuperarea, divulgarea prin transmitere, diseminare sau punerea la dispozitie in alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea datelor.

 

Anonimizarea: datele cu caracter personal care nu permit identificarea ireversibila, astfel incat persoana sa nu poata fi identificata prin utilizarea unui timp rezonabil, a costurilor si a tehnologiei, fie de catre operator, fie de catre orice alta persoana pentru a identifica persoana respectiva. Principiile de procesare a datelor cu caracter personal nu se aplica datelor anonime, deoarece acestea nu mai sunt date cu caracter personal.

 

Pseudonimizarea: prelucrarea datelor cu caracter personal in asa fel incat datele cu caracter personal sa nu mai poata fi atribuite unui anumit detinator de date fara utilizarea unor informatii suplimentare, cu conditia ca aceste informatii suplimentare sa fie pastrate separat si sa faca obiectul unor masuri tehnice si organizatorice care sa asigure ca datele cu caracter personal nu sunt atribuite unei persoane fizice identificate sau identificabile. Pseudonimizarea reduce, dar nu elimina complet, capacitatea de a lega date cu caracter personal cu un detinator de date. Deoarece datele pseudonime sunt in continuare date cu caracter personal, prelucrarea datelor pseudonime ar trebui sa respecte principiile de prelucrare a datelor personale.

 

Prelucrarea transfrontaliera a datelor cu caracter personal: prelucrarea datelor cu caracter personal care are loc in cadrul activitatilor unitatilor din mai multe state membre ale operatorului sau imputernicitului operatorului in Uniunea Europeana in care operatorul sau imputernicitul operatorului este stabilit in mai mult de un stat membru; sau prelucrarea datelor cu caracter personal care are loc in contextul activitatilor unei singure unitati ale operatorului sau ale imputernicitului operatorului care prelucreaza in Uniune, dar care afecteaza in mod substantial sau care pot afecta in mod substantial persoanele vizate in mai multe state membre;

 

Autoritatea de supraveghere: o autoritate publica independenta stabilita de un stat membru in temeiul articolului 51 din GDPR UE;

 

Autoritatea de supraveghere principala: autoritatea de supraveghere cu responsabilitatea principala pentru gestionarea unei activitati de prelucrare a datelor transfrontaliere, de exemplu atunci cand un detinator de date depune o plangere privind prelucrarea datelor sale cu caracter personal; este responsabil, printre altele, pentru primirea notificarilor referitoare la incalcarea datelor, pentru notificare cu privire la activitatea de prelucrare riscanta si va avea autoritatea deplina in ceea ce priveste obligatiile care ii revin pentru a asigura respectarea prevederilor GDPR UE;

 

Fiecare „autoritate locala de supraveghere” va continua sa se mentina pe propriul teritoriu si va monitoriza orice procesare locala a datelor care afecteaza persoanele vizate sau care este efectuata de un Operator sau de un Imputernicit din UE sau din afara UE atunci cand prelucrarea lor vizeaza subiectii vizati care locuiesc pe teritoriul sau . Sarcinile si competentele acestora includ desfasurarea de investigatii si aplicarea masurilor administrative si a amenzilor, promovarea gradului de constientizare a publicului asupra riscurilor, regulilor, securitatii si drepturilor in ceea ce priveste prelucrarea datelor cu caracter personal, precum si obtinerea accesului la orice sediu al operatorului si al imputernicitului operatorului , inclusiv orice echipament si mijloace de prelucrare a datelor.

 

Sediul principal in ceea ce priveste un operator” cu unitati din mai multe state membre, locul administratiei sale centrale in Uniune, cu exceptia cazului in care deciziile privind scopurile si mijloacele de prelucrare a datelor cu caracter personal sunt luate intr-un alt sediu al operatorului in Uniune si aceasta din urma are puterea de a pune in aplicare astfel de decizii, caz in care institutia care a luat astfel de decizii trebuie considerata a fi sediul principal;

 

Sediul principal in ceea ce priveste un Imputernicit” cu unitati din mai multe state membre, locul administratiei sale centrale in Uniune sau, in cazul in care operatorul nu are o administratie centrala in Uniune, sediul Imputernicitului in Uniune in care activitatile principale de prelucrare in contextul activitatilor unei unitati a imputernicitului operatorului au loc in masura in care imputernicitul operatorului face obiectul unor obligatii specifice in temeiul prezentului regulament;

Intreprinderea de grup: orice societate holding impreuna cu filiala sa.

 

Principiile de Baza privind Procesarea Datelor cu Caracter Personal

Principiile de protectie a datelor definesc responsabilitatile de baza ale organizatiilor care manipuleaza datele cu caracter personal. Articolul 5 alineatul (2) din GDPR prevede ca „operatorul este responsabil si poate sa demonstreze respectarea principiilor.”

 

Legalitatea, Corectitudinea si Transparenta

Datele cu caracter personal trebuie prelucrate in mod legal, corect si transparent in raport cu persoana vizata.

 

Limitarea Scopului

Datele cu caracter personal trebuie colectate in scopuri specificate, explicite si legitime si nu trebuie prelucrate intr-o maniera incompatibila cu aceste scopuri.

 

Minimizarea Datelor

Datele cu caracter personal trebuie sa fie adecvate, relevante si limitate la ceea ce este necesar in raport cu scopurile pentru care sunt prelucrate. Societatea trebuie sa aplice anonimizarea sau pseudonimizarea datelor personale, daca este posibil, pentru a reduce riscurile pentru persoanele vizate in cauza.

 

Acuratetea

Datele cu caracter personal trebuie sa fie corecte si, daca este necesar, sa fie actualizate; trebuie luate masuri rezonabile pentru a se asigura ca datele cu caracter personal care sunt inexacte, avand in vedere scopurile pentru care sunt prelucrate, sunt sterse sau rectificate in timp util.

 

Limitarea Perioadei de Stocare

Datele cu caracter personal nu trebuie pastrate decat in masura necesara scopurilor pentru care sunt prelucrate datele cu caracter personal.

 

Integritatea si Confidentialitatea

Avand in vedere stadiul tehnologic si alte masuri de securitate disponibile, costul de punere in aplicare si probabilitatea si gravitatea riscurilor de date cu caracter personal, Societatea trebuie sa utilizeze masuri tehnice sau organizatorice adecvate pentru prelucrarea datelor cu caracter personal intr-un mod care sa asigure o securitate adecvata a datelor cu caracter personal, inclusiv protectia impotriva distrugerii accidentale sau ilegale, a pierderii, a alterarii, a accesului neautorizat sau a dezvaluirii.

 

Responsabilitatea

Operatorii de date trebuie sa fie responsabili si sa poata demonstra conformitatea cu principiile enuntate mai sus.

 

Cadrul de Asigurare a Protectiei Datelor in Activitatile Comerciale

 

Colectarea

Societatea trebuie sa depuna eforturi pentru a colecta cel mai mic numar de date cu caracter personal posibile. Daca datele cu caracter personal sunt colectate de la o terta parte, Responsabilul cu Protectia Datelor – RPD (DPO) trebuie sa se asigure ca datele cu caracter personal sunt colectate in mod legal.

 

Utilizarea, Pastrarea, si Eliminarea

Scopurile, metodele, limitarea depozitarii si perioada de pastrare a datelor cu caracter personal trebuie sa fie in concordanta cu informatiile continute in comunicarea privind confidentialitatea. Societatea trebuie sa mentina acuratetea, integritatea, confidentialitatea si relevanta datelor personale pe baza scopului de procesare. Mecanismele de securitate adecvate destinate protejarii datelor cu caracter personal trebuie utilizate pentru a preveni furtul, utilizarea necorespunzatoare sau abuzul datelor cu caracter personal si prevenirea incalcarii datelor cu caracter personal. RPD este responsabil pentru respectarea cerintelor enumerate in aceasta sectiune.

 

Divulgarea catre Terte Parti

Ori de cate ori Societatea utilizeaza un furnizor tert sau un partener de afaceri pentru prelucrarea datelor cu caracter personal in numele sau, RPD trebuie sa asigure ca acest Imputernicit va oferi masuri de securitate pentru a proteja datele cu caracter personal adecvate riscurilor asociate.

Societatea trebuie sa solicite contractual furnizorului sau partenerului de afaceri sa ofere acelasi nivel de protectie a datelor. Furnizorul sau partenerul de afaceri trebuie sa prelucreze date cu caracter personal numai pentru a-si indeplini obligatiile contractuale fata de Societate sau la instructiunile societatii si nu in alte scopuri. Atunci cand Societatea prelucreaza datele cu caracter personal impreuna cu o terta parte independenta, Societatea trebuie sa precizeze in mod explicit responsabilitatile respective si partea terta in contractul relevant sau in orice alt document obligatoriu, cum ar fi Acordul privind Procesarea Datelor Furnizorului.

 

Prelucrarea Transfrontaliera al Datelor cu Caracter Personal

Inainte de a transfera date cu caracter personal din Spatiul Economic European (SEE) trebuie sa se utilizeze garantii adecvate inclusiv semnarea unui acord de transfer de date, conform cerintelor Uniunii Europene si, daca este necesar, trebuie obtinuta autorizatia autoritatii competente pentru protectia datelor. Entitatea care primeste datele cu caracter personal trebuie sa respecte principiile de prelucrare a datelor cu caracter personal prevazute in ”Cadrul de transfer transfrontalier al datelor cu caracter personal”.

 

Drepturile de Acces ale Persoanelor Vizate

Atunci cand actioneaza in calitate de Operator de date, RPD este responsabil sa furnizeze persoanelor vizate un mecanism de acces rezonabil care sa le permita accesul la datele lor personale si trebuie sa le permita sa actualizeze, sa rectifice, sa le sterge sau sa le transmita datele cu caracter personal, sau cerute de lege.

 

Portabilitatea Datelor

Subiectii de date au dreptul sa primeasca, la cerere, o copie a datelor pe care le-au furnizat intr-un format structurat si sa le transmita gratuit unui alt Operator gratuit. RPD este responsabil pentru a se asigura ca aceste cereri sunt procesate in termen de o luna, nu sunt excesive  si nu afecteaza drepturile la date cu caracter personal ale altor persoane fizice.

 

Dreptul de a fi uitat

La cerere, subiectii de date au dreptul sa obtina de la Societatea stergerea datelor sale personale. Atunci cand Societatea actioneaza in calitate de Operator, DPO trebuie sa ia masurile necesare (inclusiv masurile tehnice) pentru a informa partile terte care utilizeaza sau prelucreaza aceste date pentru a se conforma cererii.

 

Ghiduri de prelucrare corecta

Datele cu caracter personal trebuie prelucrate numai cand sunt autorizate in mod explicit de catre RPD.

 

Notificari catre Persoanele Vizate

La momentul colectarii sau inainte de colectarea datelor cu caracter personal pentru orice fel de activitati de prelucrare, inclusiv, dar fara a se limita la vanzarea de produse, servicii sau activitati de marketing, RPD este responsabil sa informeze in mod corespunzator persoanele vizate despre urmatoarele: tipuri de date cu caracter personal colectate, scopurile prelucrarii, metodele de prelucrare, drepturile persoanelor vizate cu privire la datele lor personale, perioada de pastrare, transferurile potentiale internationale de date, daca datele vor fi comunicate tertilor si masurile de securitate ale Societatii pentru protectia datelor cu caracter personal. Aceste informatii sunt furnizate prin notificarea privind confidentialitatea.

Daca Societatea efectueaza mai multe activitati de prelucrare a datelor, se vor elabora notificari diferite, care vor diferi in functie de activitatea de prelucrare si de categoriile de date cu caracter personal colectate

In cazul in care datele cu caracter personal sunt partajate cu o terta parte, RPD trebuie sa se asigure ca persoanele vizate au fost notificate cu privire la acest lucru printr-o notificare privind confidentialitatea.

In cazul in care se colecteaza date cu caracter personal sensibile, RPD  trebuie sa se asigure ca notificarea privind confidentialitatea mentioneaza explicit scopul pentru care sunt colectate aceste date cu caracter personal sensibile.

 

Obtinerea Consimtamantului

Ori de cate ori prelucrarea datelor cu caracter personal se bazeaza pe consimtamantul persoanei vizate sau pe alte motive legale, RPD este responsabil pentru pastrarea unei inregistrari a acestui consimtamant.  RPD este responsabil pentru furnizarea de informatii persoanelor vizate cu optiuni de acordare a consimtamantului si trebuie sa informeze si sa se asigure ca acordul acestora (ori de cate ori consimtamantul este utilizat ca temei legal pentru procesare) poate fi retras in orice moment.

Atunci cand colectarea de date cu caracter personal se refera la un copil cu varsta sub 16 ani, RPD  trebuie sa se asigure ca consimtamant parental  este dat inainte de colectare.

Atunci cand se solicita corectarea, modificarea sau distrugerea inregistrarilor de date cu caracter personal, RPD trebuie sa se asigure ca aceste solicitari sunt tratate intr-un interval de timp rezonabil. RPD trebuie, de asemenea, sa inregistreze cererile si sa pastreze un jurnal al acestora.

 

Raspuns la Incidente de Incalcare a Datelor cu Caracter Personal

Atunci cand Societatea afla de o incalcare a datelor cu caracter personal suspecta sau reala, Data Protection Officer trebuie sa efectueze o investigatie interna si sa ia masurile de remediere adecvate la timp, in conformitate cu politica privind incalcarea datelor. In cazul in care exista riscuri pentru drepturile si libertatile persoanelor vizate, Societatea trebuie sa notifice fara intarziere autoritatile competente pentru protectia datelor si, daca este posibil, in termen de 72 de ore.

 

Conflictul Legilor

Aceasta politica este destinata sa respecte legile si reglementarile din locul de infiintare si ale tarilor in care opereaza Axivant SRL. In eventualitatea unui conflict intre aceasta politica si legile si reglementarile aplicabile, acestea din urma prevaleaza.